SOKOLÍK.CZ

10.února 2007

Windows Vista: BitLocker

Novinkou ve Windows Vista je BitLocker Drive Encryption, který slouží k šifrování dat uložených na disku. Zabezpečení uživatelskými hesly funguje sice dobře, ale neumí si poradit s tím, když někdy vezme fyzicky disk a připojí ho do jiného počítače, na němž je administrátor. Potom snadno převezme vlastnictví vašich souborů a dostane se tak k citlivým datům. A obranou právě proti tomuto je BitLocker. Real-timově šifruje data při práci s diskem.

Správu šifrování pomocí BitLockeru najdete v Control panel, kde je ve složce Security ikonka s názvem BitLocker. Pro použití šifrování je nutné mít v počítači BIOS, který je TPM kompatibilní. V případě, že tento BIOS nemáte, lze tuto podmínku obejít pomocí USB Flash klíčenky, což si ukážeme později. Nejprve je důležité si vyjasnit pojmy Systémový disk a Bootovací disk.

Systémový disk je ten, na který se přesměruje po POST testu bootování. Jedná se o Aktivní disk, na kterém se zpravidla nachází soubor BOOTMGR a složka BOOT. Naopak bootovací disk je ten, kde se nachází složka WINDOWS. Kroutíte-li nevěřícně hlavou, tak vězte, je to opravdu tak (a to už i ve Windows XP). Systémový disk je ten, ze kterého se bootuje a bootovací disk je ten, kde leží systém. Většinou je i bootovací i systémový disk tentýž, ale nemusí.

Ale zpět k tomu, proč o tom mluvím. Chceme-li zašifrovat bootovací disk, je třeba mít bootovací a systémový disk každý na jiné partition. Je to pro to, aby systém měl možnost načíst minidriver pro BitLocker před zahájením vlastního dešifrování a spouštění. Tohoto můžeme docílit dvěma způsoby – před instalací Windows Vista a nebo po ní. Pro následující vysvětlování si disky popíšeme takto: Systémový disk (tedy ten, ze kterého se bootuje) bude S: a bootovací disk (tedy ten, kde leží systém) bude C:

Chceme-li při instalaci tyto disky rozdělit, zvolíme jazyk a ve chvíli, kdy máme kliknout na ikonku Install Windows, zvolíme vlevo dole System Recovery Option, místo operačního systému dáme Next a následně zvolíme Command Prompt. Následně zadáme následující sekvenci příkazů:

diskpart
select disk 0
clean (smaže existující Partition table v případě, že existují)
create partition primary size 1500 (Soubory ve finále zaberou několik desítek MB, ale vzhledem k tomu, že Microsoft doporučuje 1,5 GB, budeme se jich raději držet.)
assign letter=S
active
create partition primary
assign letter=C
exit

Následně příkazem format zformátujeme obě partition. Potom zavřeme Command Prompt a budeme pokračovat v instalaci na disk C:.

V případě, že chceme rozdělit systémový a bootovací disk na již nainstalovaných Windows, je třeba pravým tlačítkem kliknout na Computer a vybrat Manage. Následně v záložce Storage zvolit Disk Management. Vybereme pravým tlačítkem disk, ze kterého vykousneme část pro systémový disk a vybereme Shrink Volume a zadáme velikost místa 1500 MB. Následně z volného místa vytvoříme Primary Partition, naformátujeme, přiřadíme jí písmenko S: a označíme jako Aktivní. Protože na disku nejsou soubory potřebné pro bootování, je nutné po restartu nabootovat z instalačního CD a provést Recovery Systému (podobně, jako jsme se dostávali při instalaci do Command Promptu).

Update 12. 5. 2007

Pro start systému musí být na disku S: složka BOOT a soubor BOOTMGR. Jejich zkopírování zajistíme například takto:

xcopy c:\boot s:\boot /e /h
xcopy c:\bootmgr s:\bootmgr /h

Nyní máme tedy disk rozdělený tak, jak je potřeba a můžeme se vrhnout na vlastní šifrování pomocí technologie BitLocker. Podporuje-li náš BIOS technologii TPC spustíme v Control Panelu ikonku BitLocker. Zvolíme Turn On BitLocker u našeho systémového disku. Důležité je dobře si uložit Recovery Password, který bude potřeba, kdybychom někdy potřebovali disk vložit do jiného PC například z důvodu úmrtí základní desky či jiné HW komponenty. BitLocker nabízí možnost uložit heslo na USB disk, do složky a nebo vytisknout na tiskárnu. Následně povolíme Run BitLocker System Check a zvolíme restart. Následně proběhne kontrola disku a jeho zašifrování.

Pokud náš BIOS nepodporuje technologii TPM, je možné uložit spouštěcí klíč místo do BIOSu na USB Flash disk. Potom je třeba tento USB disk vždy při startu PC připojit. Abychom mohli tuto variantu využít je třeba spustit Group Policy Object Editor (gpedit.msc) a vybrat větev: Local Computer Policy – Administrative Templates – Windows Components – BitLocker Drive Encryption. V politice s názvem Control Panel Setup: Enable Advanced Option je třeba nastavit Enabled a zvolit Allow BitLocker without a compatibile TPM. Následně je dobré politiku aktualizovat pomocí příkazu gpupdate /force. Následuje zapnutí šifrování podobně, jako jsem již popsal, pouze s tím rozdílem, že na začátku zvolíme Require Startup USB Key at every startup, vložíme USB disk a nahrajeme na něj Startup Key.

Mám-li celý tento článek shrnout, tak již víme, že BitLocker slouží k real-time šifrování dat na disku. Na to, aby šel bootovací disk zašifrovat, nesmí být shodný s diskem systémovým. Na to, aby se dala technologie BitLocker používat, musíme mít BIOS kompatibilní s technologii TPM a v případě, že nemáme, lze to obejít pomocí USB Flash disku, který budeme muset vkládat do počítače při každém spuštění. Závěrem musím připomenout, že máte být při šifrování disku velmi opatrní, abyste o data nepřišli sami třeba díky tomu, že ztratíte Recovery Password. Je třeba si uvědomit, že třeba vadný disk je často možné z části přečíst a tak z něj zachránit alespoň nějaká data, ale pokud je šifrovaný, většinou už z něj nic nedostanete a proto je potřeba zvážit, zda se opravdu šifrování dat vyplatí.

Aktualizace 19. 11. 2007

Tak BitLocker umí šifrovat i jiné než systémové partition, ale doposud to neumí přes webové rozhraní a je na to potřeba použít příkazové řádky a příkazu manage-bde.wsf.

k zakódování disku D:, uložení klíče na flasdisk F: a zobrazení recovery hesla slouží:

cscript manage-bde.wsf -on d: -recoverykey f:\ -recoverypassword

Pokud zašifrujete jinou než systémovou partition, bude po restartu nepřístupná. Pro její automatické zpřístupnění použijte:

cscript manage-bde.wsf –autounlock –enable d:

Toto způsobí, že se dešifrovací klíč uloží na systémovou partition (která samozřejmě musí být zašifrovaná) aautomaticky se použije k dešisfrování datového disku.

V případě, že nechcete automaticky dešifrovat disk, použijte toto:

cscript manage-bde.wsf -unlock d: -rk f:

Pokud chcete zjistit stav šifrování disků, použijete toto:

cscript manage-bde.wsf -status

Hledáte-li správce sítě nebo prostě nekoho kdo umí spravovat servery, hledejte na www.petr-hladis.cz

Přečteno: 11695x | Komentářů: 8x | Kategorie: PC a internet

| Sdílet

Komentáře čtenářů

Petr20. 2. 2007 21:18:00

Zdravím. Velmi pěkný článek a na tuto metodu se chystám. Mám NTB s TPM, tak jsem zvědav. Chtěl bych se zeptat, zda BitLocker zašifruje pouze oddíl s instalací systému Windows, či je možné zašifrovat i další partition, na které mám citlivá data? Disk mám rozdělený na 1.5GB - 48GB - 50GB. Díky

Sokolík20. 2. 2007 21:24:00

[1]: Kladu si od začátku stejnou otázku a nějak jsem nikde nenašel zmínku o tom, že by šel začifrovat i další oddíl. Sám TPM na notebooku taky nemám, takže jsem zkoušel pouze virtuálně a do určité míry. Každopádně by mě přišlo logické, kdybych mohl šifrovat hlavně datový disk. Programy ať si vezme kdo chce. Každopádně mi to tuto volbu nenabídlo.

Obávám se, že na šifrování datového disku nechal Microsoft prostor třetím stranám. Šifrovat nějak rozumně systémový disk je pro cizí programy asi dost problém, takže se vydal tímto směrem.

Nebo jsem někde něco přehlédl?

Reklama ETARGET:

Roman Černovský25. 2. 2007 21:28:00

Dobrý večer, v tuto dobu umí Bitlocker (bohužel) šifrovat jen systémovou partition. Revize a umožňění zabezpečení i jiných partition se chystá do revize v SP1 pro Windows Vista.

Romand26. 2. 2007 12:24:00

Pokud náš BIOS nepodporuje technologii TPM - znamená to, že nové desky mají TPM, ale je potřeba aktualizovat BIOS. Právě v těchto dnech řeším BitLocker na své Vistě Ultimate, a ačkoliv je to nová deska od Intelu, není nalezen TPM. Je možné, že mi "chybí" pouze driver, nebo skutečně musím trpně přihlížet na USB flash?

Pavel L.14. 3. 2007 10:11:00

Jak řekl sám autor článku, disk který je šifrovaný a dojde u něj k poškození- již neobnovíte, tedy disk šifrovaný systémem obsaženým ve Vistě. Existují jiné ač komerční nástroje které to umožňují, ale tento ne. Osobně pokud považuji některá data za tak citlivá, že je chci ochránit pomocí šifrování, jsou pro mne tak důležitá že nebudu riskovat nemožnost obnovy těchto dat..K čemu je ochrana vašich dat, když se k nim pak nedostanete ani vy.

GK13. 6. 2007 12:46:00

Takhle pres ruku, to je teda mazec. Co se tyce sifrovani, nedam dopustit na DCPP (DriveCrypt Plus Pack) od Securstar, nejenze nemusite nic rozdelovat (disk na systemovy a bootovaci), ale umi i sifrovat tolik partitions, kolik jen mate v pocitaci. V pripade poruchy nabootovat z recovery CD, ale pokud zapomenete heslo, mate proste smulu !!!. Vliv tohoto sifrovani: Z prumerne cteci rychlosti pole 124MB/s po zasifrovani asi 105-110MB/s. Ale pokud bezne v pocitaci presouvate velke objemy dat, pocitite zpomaleni a vytizeni procesoru (tvari se v spravci uloh jako "system") . . .

Jo a malem bych zapomnel, ma to preboot autentifikaci, ktera muze vypadat ruznymi zpusoby, napr. jen vypise "Hard disk 0 failure" a nic se nedeje, po zadani platneho hesla zacne system bootovat ;-)

GK

Tesar6. 8. 2007 11:16:00

Připojuji se k GK. Také doporučuji DriveCrypt Plus Pack. Je opravdu jednoduchý a umí vše.

Reklama ETARGET:

Silvie21. 8. 2008 10:55:00

Doporučuji program DisCryptor - žádné zpomalení práce na počítači, různé bezpečnostní profily, bezpečné šifrování pomocí nejlepších šifer, při zapomenutí hesla (!!!) možnost dešifrovat data pomocí systémového klíče!, funkce bezpečného mazání, zálohování a mnohem více... pokud někdo přemýšlí o důkladném zabezpečení dat, toto je určitě jedno z nejlepších řešení.